Jak skonfigurować uwierzytelnianie systemu Windows dla usługi Microsoft Entra ID przy użyciu nowoczesnego przepływu interaktywnego

Artykuł
10/20/2023

W tym artykule opisano sposób implementowania nowoczesnego przepływu uwierzytelniania interakcyjnego, aby umożliwić klientom z systemem Windows 10 20H1, Windows Server 2022 lub nowszą wersję systemu Windows do uwierzytelniania w usłudze Azure SQL Managed Instance przy użyciu uwierzytelniania systemu Windows. Klienci muszą być przyłączeni do usługi Microsoft Entra ID (dawniej Azure Active Directory) lub dołączone hybrydowo do firmy Microsoft Entra.

Włączenie nowoczesnego przepływu uwierzytelniania interakcyjnego to krok konfigurowania uwierzytelniania systemu Windows dla usługi Azure SQL Managed Instance przy użyciu identyfikatora Microsoft Entra ID i protokołu Kerberos. Przychodzący przepływ oparty na zaufaniu jest dostępny dla klientów przyłączonych do usługi AD z systemem Windows 10 / Windows Server 2012 lub nowszym.

Dzięki tej funkcji identyfikator Entra firmy Microsoft jest teraz własnym niezależnym obszarem Kerberos. Klienci systemu Windows 10 21H1 są już obsługiwani i przekierowują klientów w celu uzyskania dostępu do protokołu Kerberos firmy Microsoft w celu żądania biletu protokołu Kerberos. Możliwość uzyskiwania dostępu do protokołu Kerberos firmy Microsoft przez klientów jest domyślnie wyłączona i można ją włączyć, modyfikując zasady grupy. Zasady grupy mogą służyć do wdrażania tej funkcji w sposób etapowy, wybierając określonych klientów, na których chcesz przeprowadzić pilotaż, a następnie rozszerzając ją do wszystkich klientów w całym środowisku.

Uwaga

Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Wymagania wstępne

Nie skonfigurowano usługi Active Directory do usługi Microsoft Entra ID wymaganej do włączenia uruchamiania oprogramowania na maszynach wirtualnych dołączonych do firmy Microsoft w celu uzyskania dostępu do usługi Azure SQL Managed Instance przy użyciu uwierzytelniania systemu Windows. Aby można było zaimplementować nowoczesny interaktywny przepływ uwierzytelniania, muszą być spełnione następujące wymagania wstępne:

Wymaganie wstępne	Opis
Klienci muszą mieć system Windows 10 20H1, Windows Server 2022 lub nowszą wersję systemu Windows.
Klienci muszą być przyłączeni do firmy Microsoft Entra lub przyłączeni hybrydowi firmy Microsoft Entra.	Możesz określić, czy to wymaganie wstępne zostało spełnione, uruchamiając polecenie dsregcmd: `dsregcmd.exe /status`
Aplikacja musi łączyć się z wystąpieniem zarządzanym za pośrednictwem sesji interaktywnej.	Obsługiwane są aplikacje takie jak SQL Server Management Studio (SSMS) i aplikacje internetowe, ale nie aplikacje uruchamiane jako usługa.
Dzierżawa Microsoft Entra.
Subskrypcja platformy Azure w ramach tej samej dzierżawy usługi Microsoft Entra, której planujesz używać do uwierzytelniania.
Zainstalowano Połączenie firmy Microsoft.	Środowiska hybrydowe z tożsamościami istniejącymi zarówno w usłudze Microsoft Entra ID, jak i w usłudze AD.

Konfigurowanie zasad grupy

Włącz następujące ustawienie Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logonzasad grupy:

Otwórz edytor zasad grupy.
Przejdź do Administrative Templates\System\Kerberos\.
Wybierz bilet Zezwalaj na pobieranie biletu kerberos w chmurze podczas logowania.
W oknie dialogowym ustawienia wybierz pozycję Włączone.
Wybierz przycisk OK.

Odśwież żądanie ściągnięcia (opcjonalnie)

Użytkownicy z istniejącymi sesjami logowania mogą wymagać odświeżenia podstawowego tokenu odświeżania firmy Microsoft (PRT), jeśli spróbują użyć tej funkcji natychmiast po jej włączeniu. Odświeżanie żądania ściągnięcia może potrwać do kilku godzin.

Aby ręcznie odświeżyć żądanie ściągnięcia, uruchom to polecenie w wierszu polecenia:

dsregcmd.exe /RefreshPrt

Następne kroki

Dowiedz się więcej o implementowaniu uwierzytelniania systemu Windows dla podmiotów zabezpieczeń firmy Microsoft w usłudze Azure SQL Managed Instance:

Udostępnij za pośrednictwem